TLDR: use contraseñas seguras para evitar un ataque de fuerza bruta.
¿Qué tan seguras son sus contraseñas corporativas para los inicios de sesión y los servidores de su sitio? ¿Qué tan estrictas son sus políticas de contraseñas para los empleados? Según Better Buys, las contraseñas con solo ocho caracteres en minúscula se pueden descifrar en cinco horas. Afortunadamente, los tiempos aumentan exponencialmente con el recuento de caracteres, por lo que una contraseña de doce caracteres tardaría dos siglos.
Por supuesto, todo esto es teórico, pero el punto es este: si desea mantener el control de sus datos y sistemas, tenga una contraseña segura. Porque sin eso, eres susceptible a un ataque de fuerza bruta.
¿Qué es un ataque de fuerza bruta?
Un ataque de fuerza bruta es un tipo de ataque cibernético en el que los piratas informáticos prueban una larga lista de contraseñas para acceder a su sitio / servidor. Estas listas contienen millones de contraseñas diferentes y pueden ejecutar scripts que enviarán solicitudes de publicación al sitio / servidor hasta que obtengan la confirmación de que iniciaron sesión correctamente.
Como leyó en el ejemplo anterior, las computadoras ahora pueden descifrar contraseñas mucho más rápido que antes con ventajas tecnológicas. Por eso, verá reglas al crear nuevas cuentas que su contraseña debe tener más de 8 caracteres y debe incluir letras mayúsculas, números y símbolos.
¿Cuáles son los objetivos de un ataque de fuerza bruta?
Los objetivos de los ataques de fuerza bruta difieren de persona a persona, pero aquí están los cinco objetivos más comunes que los ataques de fuerza bruta intentan lograr:
Robar su información personal. Usar sus credenciales para rellenar credenciales. Usar su información para phishing. Arruinar la reputación de una organización. Sitios web comprometidos.
Todos los objetivos mencionados pueden ser utilizados por el mismo pirata informático para hacer tanto daño como pueda. Las empresas violadas luchan por recuperarse, y el 60% de las pequeñas y medianas empresas (PYMES) cierran dentro de los seis meses posteriores a la violación.
Hay un lado positivo de los ataques de fuerza bruta. Algunas empresas prueban la seguridad de la red y verifican la solidez del cifrado utilizado en la red. Por ejemplo, una red bancaria debe estar lo más protegida posible, por lo que siempre probarían su seguridad para evitar el robo de datos o dinero.
¿Cómo se reconoce un ataque de fuerza bruta?
Los ataques de fuerza bruta se pueden reconocer buscando múltiples intentos fallidos de inicio de sesión desde la misma IP o un aumento en la carga en su servidor debido a una afluencia de solicitudes de publicación a su sitio. Querrá monitorear su sitio de cerca o comprar alojamiento con un proveedor de nube administrado para manejar el monitoreo por usted. Asegúrese de que el soporte incluya un monitoreo proactivo para que alguien esté al mando 24/7/365 para proteger su sitio.
¿Cuáles son los tipos de ataques de fuerza bruta?
Hay cuatro tipos diferentes de ataques de fuerza bruta. La única diferencia entre los tipos de ataques de fuerza bruta es el enfoque adoptado para descifrar su contraseña. El objetivo principal sigue siendo el mismo: infiltrar su sitio en busca de actividades maliciosas.
1. Ataque de diccionario
Un ataque de diccionario comienza con las contraseñas más comunes y pasa por una lista de contraseñas en el diccionario, y es el tipo de ataque más básico.
2. Relleno de credenciales
El relleno de credenciales, también conocido como reciclaje de credenciales, reutiliza las credenciales de otras filtraciones de datos para ingresar a otros lugares donde usó las mismas credenciales. Por eso es extremadamente importante tener una contraseña diferente para el correo electrónico, Facebook, PayPal, Amazon, etc.
3. Fuerza bruta inversa
Un ataque de fuerza bruta inversa utiliza contraseñas comunes y pasa por una lista de posibles nombres de usuario. Uno de cada millón de usuarios tendrá una contraseña como “contraseña” (si el sitio permite esta contraseña). Otras contraseñas, como 123456 o qwerty, son extremadamente débiles y susceptibles de ser atacadas. Si está usando una de estas contraseñas para cualquiera de sus sitios, cámbiela ahora.
4. Fuerza bruta híbrida
Un ataque híbrido de fuerza bruta generalmente combina las contraseñas más comunes con caracteres aleatorios. Este tipo de ataque adivinaría entonces “password123”, “123456abc”.
Los cinco pasos para prevenir un ataque de fuerza bruta
Para tener una mejor idea de cómo funcionan las cosas, puede comparar el servidor o el sitio con su casa, familia y amigos con los usuarios mientras compara a los piratas informáticos con los ladrones. Abrir la puerta principal con la llave correcta permitirá que sus amigos y familiares lo visiten en cualquier momento, pero esto permite que los ladrones intenten abrir la cerradura de la puerta principal también. No existe una solución permanente que sea 100% segura, y con cada buena ventaja tecnológica, viene una negativa. Pero hay pasos específicos que puede seguir para mantenerse lo más seguro posible.
Estos son los cinco pasos principales para prevenir un ataque de fuerza bruta:
1. Utilice contraseñas seguras
El uso de contraseñas seguras es la forma más eficaz de prevenir un ataque de fuerza bruta. Cada carácter adicional en su contraseña aumentará el tiempo de ingresar a su cuenta, por lo que agregar un símbolo de letra adicional al final haría que su contraseña sea más segura que su contraseña actual. Intente usar una combinación de letras, números, mayúsculas y caracteres especiales en cada contraseña. Además, puede intentar usar frases de contraseña, que son varias palabras pegadas. Si solo desea recordar una contraseña difícil, use un administrador de contraseñas para administrar todas sus contraseñas por usted.
2. Habilite la autenticación de dos factores
Si no desea utilizar contraseñas seguras, otra forma de evitar los ataques de fuerza bruta y la violación es configurar la autenticación de dos factores (2FA). Esto le permitirá iniciar sesión como lo haría en cualquier otro lugar, pero este paso adicional de enviar una notificación a su teléfono para confirmar su identidad evitará que los piratas informáticos entren en su cuenta. La 2FA basada en aplicaciones es preferible a las notificaciones basadas en texto, pero cualquiera de las dos es mejor que tener solo una contraseña.
3. Restringir el número de intentos fallidos
Otra forma de proteger sus cuentas es restringir el número de intentos fallidos de acceder a su sitio o servidor. Éste es un arma de doble filo. Con un número limitado de intentos, puede contar con que sus empleados y clientes nunca olviden sus contraseñas.
4. Restringir el acceso desde otras direcciones IP
Al denegar el acceso a su cuenta de administrador en su servidor desde cada IP excepto su propia IP, evitará cualquier ataque a su servidor. También será el único que podrá iniciar sesión hasta que su IP cambie al día siguiente. Sí, siempre puede ponerse en contacto con el soporte para incluir su IP en la lista blanca, pero esto se puede evitar si obtiene una IP estática de su proveedor de ISP. Una IP estática puede ser extremadamente efectiva si tiene configurados los permisos correctos para todos los administradores de su servidor.
5. Habilite CAPTCHA
Habilitar CAPTCHA impedirá que cualquier bot / script publique demasiadas solicitudes en poco tiempo. Esta es una buena manera de proteger sus páginas de inicio de sesión y formularios de contacto para evitar el spam y el aumento de la carga en su servidor.
Las contraseñas seguras derrotan los ataques de fuerza bruta
En conclusión, al crear una nueva cuenta, póngase en la piel de un hacker y piense cuántos intentos se necesitarían para descifrar su contraseña. Si alguien ingresa a esta cuenta, ¿dónde más puede reutilizar el mismo nombre de usuario y contraseña? Los ataques de fuerza bruta suceden todos los días para muchos sin su conocimiento, y es mucho más fácil prevenirlos al principio mientras todavía tienes el control de tu cuenta.
¿Necesita ayuda para proteger toda su infraestructura? Descargue su lista de verificación de infraestructura de seguridad para pymes
